ما هو إطار الأمن السيبراني الأفضل للمؤسسة لاستخدامه؟ هذا هو أحد الأسئلة الأكثر شيوعًا عند الشروع في رحلة الأمن السيبراني. غالبًا ما تقع الإجابة بشكل غير مرضٍ تمامًا في السطور التوضيحية حول عدم وجود مقاس واحد يناسب الجميع ومزايا وعيوب كل منها. الجزء الأصعب بالنسبة لمحترف الأمن السيبراني هو فكرة أن الطريقة الوحيدة لفهمه هي دراسة كل إطار ومن ثم معرفة أيهما ينطبق بشكل أفضل. إنها مهمة ضخمة ، وغالبًا ما ينتج عنها شخص يعاني من الانحياز التأكيدي ، عندما يختار فقط واحدًا معتادًا عليه بشكل معتدل ، ثم يعثر على دليل في الدعم لإقناع C-Suite بأنه الأفضل لـ الكائن الحي.
اليوم بفضل جهود البنك المركزي المصري (CBE)، تم تبسيط الكثير من العمل. يستخدم إطار عمل الأمن السيبراني المالي المصري الأطر الأكثر شيوعًا واحترامًا في مصدر موحد. بدلاً من محاولة الإسناد الترافقي لجميع الأطر مع بعضها البعض ، يختار البنك المركزي الأوروبي أفضل الممارسات من كل منها ، وإنشاء مستند جديد لاستخدامه في القطاع المالي. وبذلك ، حدد البنك المركزي مجالات الاهتمام الرئيسية تكييف إطار الأمن السيبراني مع المتطلبات الفريدة للقطاع المالي المصري.
توفر الرسوم البيانية الواردة في إطار عمل البنك المركزي المصري نظرة عامة رائعة على نقاط القوة في جميع المصادر. يتم تعيين خمس وظائف رئيسية للأوامر. يتضمن إطار العمل أيضًا تعريفات ومسؤوليات لأدوار مختلفة ، بالإضافة إلى أعضاء الفريق.
سيكون هذا الإطار بمثابة إرشادات أساسية لتطوير قدرات الأمن السيبراني في هذا القطاع الحيوي. هذه بداية لجهود البنك المركزي المصري الأكبر لبناء نظام بيئي قوي ومستدام للأمن السيبراني داخل القطاع المالي. التفتيش الأمني يتم تحديدها في جميع أنحاء الإطار وتكون بمثابة المقياس الأساسي للامتثال. يتضمن التعريف الأساسي والتقوية أداء مهام دقيقة ومحددة لتقليل سطح هجوم المؤسسة.
من أقوى جوانب إطار عمل البنك المركزي المصري أنه لا يعطل الأساليب المتبعة في تنفيذ الضوابط المطلوبة. بهذا المعنى ، يمكن استخدام الأدوات المنشأة لتلبية احتياجات الإطار.
مدير سياسة المؤسسة Tripwire يعمل على تقوية الأنظمة بشكل استباقي من خلال تقييم التكوينات مقابل معايير الأمان الداخلية والخارجية ومعايير الصناعة واللوائح وتقييم التغييرات بشكل مستمر مقابل متطلبات الأمان والسياسة والامتثال من أجل التغييرات الجيدة مقابل التغييرات “السيئة” و “انحراف السياسة”.
شركة تريبواير يوفر مدير السياسات أكبر مجموعة من السياسات والأنظمة الأساسية في الصناعة ، بما في ذلك جميع الأطر المدرجة في إطار عمل البنك المركزي المصري ، بالإضافة إلى NESA الإماراتية وقطر NIA و Saudi ECC ، HIPAAو NERC CIP و SOX و COBIT و DISA STIG وغيرها الكثير.
شركة تريبواير يطابق تمامًا متطلبات وضوابط إطار عمل البنك المركزي المصري.
إدارة الهوية والوصول
تهدف إدارة الهوية والوصول إلى توفير أو إبطال الوصول إلى المستخدمين والأنظمة للعمل في أعمال المنظمة. يتمثل الهدف الثانوي لـ IAM في ضمان منح المستخدمين الحد الأدنى من مستوى الوصول اللازم لأداء وظائف الوظيفة الأساسية.
حماية البيانات والخصوصية
تضمن حماية البيانات وسريتها توافر البيانات وسلامتها وسريتها. تركز تدابير حماية البيانات على حماية بيانات العملاء والشركة والملكية الفكرية ومعلومات التعريف الشخصية ، سواء كانت تلك البيانات تخص الموظفين أو العملاء أو كليهما.
أمان التطبيق
تتمثل وظيفة أمان التطبيق في تقليل التعرض للمخاطر النظامية الكامنة في العديد من تطبيقات البرامج اللازمة لدعم العمليات التجارية. أمان التطبيق يركز على حماية التطبيقات من الاستغلال من قبل الخصوم طوال عمر التطبيق.
أمن نقطة النهاية
الهدف من Endpoint Security هو حماية الخوادم ومحطات العمل ومحطات العمل التي يستخدمها الموظفون والجهات الخارجية والمقاولون للاتصال بشبكة المؤسسة. يمكن أن يؤدي تطبيق Endpoint Security باستخدام معايير شاملة وعناصر تحكم فنية إلى منع ما يلي:
- التهابات البرمجيات الخبيثة
- نشاط القيادة والسيطرة
- استخراج البيانات
- برامج الفدية / إتلاف البيانات
- تصعيد الامتيازات
- الحركة الجانبية
أمن الإنترنت
يركز أمان الشبكة على حماية البيانات والمعلومات أثناء النقل ، وضمان رؤية جيدة للشبكة ، وتقييد الوصول إلى الشبكة إلى نقاط النهاية المصرح بها فقط ، واتخاذ الإجراءات التصحيحية عند اكتشاف نشاط ضار. يمكن أن يؤدي تنفيذ معايير أمان الشبكة الشاملة والضوابط الهندسية إلى منع العديد من التهديدات ، بما في ذلك الوصول غير المصرح به ، واستطلاع الشبكة ، والإصابات بالبرامج الضارة ، ونشاط القيادة والتحكم ، واستخراج البيانات ، ونشاط برامج الفدية / تدمير البيانات.
القنوات الرقمية
تدعم القنوات الرقمية ضوابط الأمان اللازمة للحماية من التهديدات التي تواجه تكنولوجيا اليوم وتلك التي تلوح في الأفق مع تحرك المجتمع نحو اقتصاد رقمي وغير نقدي إلى حد كبير. وهي ذات صلة خاصة بالقطاع المالي ، حيث تحمي من مجموعة متنوعة من الجرائم المالية ، مثل الاحتيال وسرقة الهوية وغسيل الأموال وتمويل الإرهاب.
الأمن السحابي
سحاب يهدف الأمان إلى معالجة المخاطر الفريدة التي يشكلها استخدام البنية التحتية كخدمة (IaaS) أو النظام الأساسي كخدمة (PaaS) أو البرمجيات كخدمة (SaaS) عروض الحوسبة السحابية. الأمن السحابي يعالج التهديدات التالية:
- دخول غير مرخص
- خصوصية البيانات
- الحركة الجانبية بين المستأجرين السحابيين وداخلهم
- نقاط الضعف الافتراضية
- ممتد سطح الهجوم
مراقبة سلامة البيانات
يتطلب إطار عمل البنك المركزي المصري نشر المراقبة الصحية لاكتشاف التغييرات في الأصول لمراجعة التغييرات بانتظام والتنبيه والإبلاغ عن التغييرات غير المصرح بها لفريق العمليات الأمنية. تريبواير هو مخترع مراقبة سلامة الملف التي تتمتع بقدرة فريدة ومدمجة على تقليل الضوضاء من خلال توفير طرق متعددة لتحديد تغيير منخفض المخاطر من تغيير شديد الخطورة كجزء من التقييم وتحديد الأولويات وتسوية التغييرات المكتشفة. يؤدي الترويج التلقائي للعديد من التغييرات على الوضع الراهن إلى تقليل الضوضاء ، مما يمنح تقنية المعلومات مزيدًا من الوقت للتحقيق في التغييرات التي قد يكون لها تأثير أمني حقيقي وتسبب مخاطر.
اتخذت شركة Tripwire أداة الكشف عن التطفل الأصلية القائمة على المضيف لاكتشاف التغييرات التي تطرأ على الملفات والمجلدات ، ووسعتها إلى أداة قوية حل مراقبة سلامة الملفات (FIM)قادر على مراقبة صحة النظام التفصيلية: الملفات والأدلة والسجلات وإعدادات التكوين وملفات DLL والمنافذ والخدمات والبروتوكولات. تكامل المؤسسة الإضافية بما في ذلك سيمتوفير معلومات دقيقة حول الأجهزة التي تدعم كشف التهديدإنشاء بيانات أحداث ثرية مع سياق الأعمال لتحديد ما يحتاج إلى تحقيق فوري ، مما يتيح تحسين الارتباطات وتنبيه سير العمل.
على الرغم من أن إطار الأمن السيبراني للبنك المركزي المصري مفصل عن قصد ، سيكون من غير العملي ، إن لم يكن غير حكيم ، استخدامه خارج حدود مصر. إنه بعيد جدًا بالنسبة لمعظم البلدان لتبنيها كسلطة. إنه أمر مؤسف ، ولا يسع المرء إلا أن يأمل أن يتغير بمرور الوقت. ومع ذلك ، بغض النظر عن هذا التردد في الاعتراف العالمي ، يجب إضافته إلى قائمة النصائح الموثوقة لكل متخصص في الأمن السيبراني.
لمعرفة المزيد عن إطار عمل الأمن السيبراني المالي المصري ، انقر هنا.
